CISA/CISM认证学习讨论区

mika1982

大家討論一下
這是我審計課本內的定義
Control risk is the likelihood that a material misstatement will not be prevented or detected on a timely basis
by internal control.

Detection risk is the risk that audit evidence for a segment will fail to detect material misstatament.

而從審計中所學得知，control risk 和 auditor 並無關連，auditor 未發現重大錯誤的風險為detection risk。

我還是認為答案是c，大家一起來討論

jeff_wu

MAQING说：auditor checks control risk，我认为没有问题。不管是财务审计还是is audit，auditor都要对internal control/IS control进行review并评价control risk, 以确定audit planning, the time, extent of the audit process...

楼上还是回去翻翻审计书哦，auditor怎么会不关心control risk呢，现在的审计方法都是risk-based approach (no matter inherent, control or business risk), SOX出来后，美国上市公司的审计报告都要加一段，说明auditor had review the internal control over financial reporting process.

请再看一遍题目，题目的关键是substantive procedure, 如果大家对审计程序熟悉的话，就知道substantive procedure 是用来作test of balance的， Substantive Procedure不会用来detect error in control, 最多要求auditor revalue the risk assessment. 所以答案是B

再来看看detection risk,说的是is auditor不能发现重大error/misstatement的可能。题目却说的是substantive procedure 云云...

johntings

受益匪浅，谢谢各位！

mika1982

最初由 jeff_wu 发布
[B]MAQING说：auditor checks control risk，我认为没有问题。不管是财务审计还是is audit，auditor都要对internal control/IS control进行review并评价control risk, 以确定audit planning, the time, extent of the audit process...

楼上还是回去翻翻审计书哦，auditor怎么会不关心control risk呢，现在的审计方法都是risk-based approach (no matter inherent, control or business risk), SOX出来后，美国上市公司的审计报告都要加一段，说明auditor had review the internal control over financial reporting process.

请再看一遍题目，题目的关键是substantive procedure, 如果大家对审计程序熟悉的话，就知道substantive procedure 是用来作test of balance的， Substantive Procedure不会用来detect error in control, 最多要求auditor revalue the risk assessment. 所以答案是B

再来看看detection risk,说的是is auditor不能发现重大error/misstatement的可能。题目却说的是substantive procedure 云云... [/B]

我當然知道auditor要對internal control做出評價，以決定control risk。

我也沒說過auditro不關心control risk，我說的是control risk並不是由auditor的行為所造成的，auditor僅是評估control risk，internal control 的好壞才是影響control risk的關鍵，我所接受的完全是美式會計教育，我當然瞭解Sarbenes Oxley的內容及其重要性。

當auditor在進行test of control 時，才會評估control risk的高低，進而決定substantive test 的範圍。

detection risk在test of control和substantive test中都有可能發生，是指auditor未能發現重大過失的風險。

而題目說：is auditor在證實測試程序中，未能偵測到重大錯誤的風 險為何？
答案應該是detection risk 吧

歡迎繼續討論

jeff_wu

赫赫，题目不是说：is auditor在證實測試程序中...

而是说：IS auditor的实质性测试...

对题目的准确翻译应该是：

信息系统审计师的实质性程序不能发现重大错误的风险是：

另外，正如你所说的：auditor僅是評估control risk，internal control 的好壞才是影響control risk的關鍵，。。。（所以实质性程序不能够发现control risk中的material error，所以是b）

本题造成误选的原因还是因为题目是英语， 楼上的兄弟再多念几遍题目，找找语感。：）

johntings

我也来说说，
正如题目所说：“信息系统审计师的实质性程序不能发现重大错误的风险是：”
我这么听起来感觉就是考detection risk的定义？
如果按jeff_wu老师的说法，那么实质性程序也不能发现 Inherent risk，那么这题应该是考detection risk的定义理解，应是C
班门弄斧，请多指教：）

MUFC

I also think the answer should be B.

jeff_wu

我查了一下审计书（auditing: an international approach）和加拿大会计准则对detection risk的明确定义。考虑再三，不得不承认，俺错了。赫赫。

应该是c。

我又找了isaca的IS auditing guideline use of risk assessment in auditing plan.

其中对detection risk的定义是：

Detection Risk – the risk that the IS auditor’s substantive procedures will not detect an error which could be material, individually or in combination with other errors.
最后不得不承认，是我的语感和对概念的理解有问题阿。

谢谢mika和其他朋友一起讨论，请继续！：）

jeff_wu

what's the difference between "test data" and "integrated test facility"? thx!

johntings

Test data approach系指审计人员在进行电子数据处理系统遵行查核程序前，预先想象各种可能产生的错误数据，录制于磁盘中。查核时，输入系统，以测验系统能否揭发各种模拟错误。
Integrated test facility approach系指内部稽核人员或外部审计人员用以测试、监视电子数据处理系统应用中各种会计控制方法之一，此措施在电子数据处理系统内设置虚拟部门、个体及全套虚拟记录及假档案，并与正常交易数据同时处理，以测试前述虚拟部门、档案资料是否只会影响虚拟档案的输出。
两者之不同：
1、使用对象：ITF主要为内部稽核人员使用，外部审计人员亦可使用。TD主要是外部审计人员。
2、测试时机：ITF的虚拟数据与正常数据可以同时处理，以测试内部控制作业，并不会影响真实数据文件之输出结果，属同步审计技术，特别适用于在线复杂的系统。TD完全使用虚拟数据，以测试内部控制作业，属事后审计技术，只能测试某一时点的系统程序的控制有效性。
3. 注意事项：ITF必须审慎设计以确保真实档案与虚拟档案不会发生混淆，且于测试完成后确认虚拟之个体与数据已自受测系统中完全删除。TD须使用特别代码，避免假数据混淆真数据。